Nyckelinsikter:

  • Du ska veta vilka enheter som finns på ditt nätverk; autentisera dem gärna
  • Inventera genom aktiv och passiv inhämtning
  • Håll informationen uppdaterad
  • Agera på icke-godkända enheter

För att kunna säkra ditt företag menar CIS att du först måste ha koll på alla enheter som finns anslutna till ditt nätverk. Detta innebär i all väsentlighet att du måste inventera, löpande, vilka enheter som ansluts, finns på nätverket och kopplas bort. Det första steget är att börja inhämta information genom aktiva metoder och så komplettera detta med passiva metoder.

Välkommen till första inlägget i artikelserien om CIS Controls version 7.

Inledning

För det här inlägget har jag skapat en enklare CSF-profil du kan ladda ner.

Tanken är att låta den här initiala profilen byggas på för varje kontroll så att du slutligen får en mer fullständig profil för hela serien av åtgärder inom ramen för CIS Controls version 7.

Första åtgärdsområdet omfattar totalt 8 olika specifika åtgärder som tillsammans ger förmågan att Inventera och hantera hårdvarutillgångar.

Börja så här

Ni behöver bestämma er för hur ni vill hantera insamlade data. Kanske har ni redan någon form av inventerings-verktyg. Eller så kanske ni är nöjda med att bearbeta insamlade data och strukturera upp i en excel, eller txt-fil. Vad vet jag. Men ni behöver bestämma er för hur informationen ska användas annars är det föga meningsfullt att samla in den.

  • Hur ska ni skilja på godkända enheter från icke-godkända?
  • Vad vill ni göra med en enhet som inte är tänkt att vara på nätverket?
  • Räcker det med att en enhet på nätverket kan autentisera sig mot katalogtjänsten (typiskt Active Directory)?
  • Kanske rentav förutsätter ni att icke-godkända enheter förekommer på nätverket och ni är OK med det?
  • Ni kanske tillämpar någon form av zero-trust arkitektur och bryr er inte överhuvudtaget om vilka enheter som förekommer.

Vill ni ändå påbörja en inventering kanske det här kan vara några lämpliga första steg.

Börja med att ställa er frågan om det redan finns förmåga att inventera och hantera enheter på företagsnätverket. Vilka källor används för att dels inventera och dels berika?

Därefter kan ni börja fundera över om informationen ska kunna behandlas automatiskt eller om manuell hantering är tillräckligt. Detta blir antagligen en fråga om storlek på organisation och resurser. Automatisering är generellt sett att föredra i de flesta sammanhang. Och då är vi tillbaka i hur informationen finns, eller behöver finnas, representerad. Någon form av applikation/system som exponerar genom ett API är troligen en bra väg att gå. Bygg själva eller köp in system.

Inventering av enheter

Målsättningen med att inventera enheter är att ge dig kontroll på ditt nätverk. Känner du till vilka enheter du har får du också bättre förutsättningar att skydda nätverket.

Passiv och aktiv inhämtning

Du kan på det stora hela inventera enheter på två sätt, antingen gör du det passivt eller aktivt. Passivt innebär att du väntar på att enheter ska dyka upp genom exempelvis DHCP-förfrågningar. Eller så kanske nätverksutrustning är konfigurerad för att notifiera när nya enheter ansluts till en port eller trådlöst nätverk. Du kan även låta placera någon form av IDS/IPS som luktar på nätverkstrafiken och håller koll på vilka enheter som dyker upp och försöker kommunicera.

I den aktiva inhämtningen så går du själv ut och söker efter nya enheter. Du kanske kör en ping sweep, e.g. ICMP echo request (typ 8) eller så försöker du ansluta till de vanligaste TCP-portarna genom en SYN-scan. 

Underhåll och uppdatera inventeringen

Givetvis måste även inventeringen underhållas och uppdateras löpande för att vara en tillförlitlig representation av enheterna på ditt nätverk. Synkronisering genom flera olika tjänster som ger en samlad bild av alla enheter på nätverket.

Säkerställ endast godkända enheter

Den här åtgärden ger förslag på två åtgärder för att begränsa vilka enheter som får ansluta till nätverket. Först genom 802.1x för att endast tillåta godkända enheter att ansluta till nätverket. Den andra åtgärden är att använda sig utav klient-certifikat för autentisering. (Jag är ärligt talat lite osäker på hur de menar att det här certifikatet ska användas, kanske genom någon form av IPsec-anslutning?)

Mäta effektivitet

När ni väl påbörjat arbetet med att etablera förmågan vore det på sin plats att försöka mäta hur pass effektiv den är. Det här med mätning är alltid klurigt, men här är några förslag på sätt att mäta förmågan att inventera och hantera hårdvarutillgångar.

  1. Hur lång tid tar det för ansvarig organisation att upptäcka en nyligen ansluten enhet?
  2. Har organisationen förmåga att skilja en godkänd från en icke-godkänd enhet?
  3. Hur lång tid tar det att godkänna en nyligen ansluten enhet?
  4. Hur många icke-godkända enheter ansluts varje dag?
  5. Hur många godkända enheter ansluts varje dag?
  6. Hur många mobila klienter finns det? (Förekommer det mycket BYOD?)

Sammanfattning och nästa inlägg

Okej. Så i det här inlägget har jag försökt redogöra i något mer detalj hur åtgärd 1, Inventering och hantering av hårdvarutillgångar, kan hanteras. Om ni uppskattade något lite så där extra eller om något saknades får ni väldigt gärna höra av er så att framtida inlägg blir bättre och att jag också kan förbättra det här inlägget.

Och i nästa inlägg kommer det handla om hur vi gör samma sak fast då för mjukvara.